Un nuovo pericolo informatico : Image-Scaling Attack o attacchi di ridimensionamento delle immagini

Di solito non ci aspettiamo che l’immagine di una tazza da tè si trasformi in un gatto quando riduciamo lo zoom. Ma nel mondo della ricerca sull’intelligenza artificiale possono accadere cose strane. I ricercatori della Technische Universität Braunschweig tedesca hanno dimostrato che la modifica attenta dei valori dei pixel delle foto digitali può trasformarle in un’immagine completamente diversa quando vengono ridimensionate.

Ciò che preoccupa sono le implicazioni che queste modifiche possono avere per gli algoritmi di intelligenza artificiale.

Gli attacchi contraddittori di ridimensionamento delle immagini sfruttano gli algoritmi di ridimensionamento delle immagini per modificare l’aspetto di un’immagine quando viene ridotta.

Gli attori malintenzionati possono utilizzare questa tecnica di ridimensionamento delle immagini come trampolino di lancio per attacchi avversari contro i modelli di apprendimento automatico , gli algoritmi di intelligenza artificiale utilizzati nelle attività di visione artificiale come il riconoscimento facciale e il rilevamento di oggetti. L’apprendimento automatico antagonistico è una classe di tecniche di manipolazione dei dati che causano cambiamenti nel comportamento degli algoritmi di intelligenza artificiale mentre passano inosservati agli esseri umani.

In un documento presentato all’Usenix Security Symposium di quest’anno, i ricercatori della TU Braunschweig forniscono una revisione approfondita della messa in scena e della prevenzione degli attacchi di ridimensionamento delle immagini contro i sistemi di apprendimento automatico. I loro risultati ci ricordano che dobbiamo ancora scoprire molte delle sfaccettature nascoste – e delle minacce – degli algoritmi di intelligenza artificiale che stanno diventando sempre più importanti nella nostra vita quotidiana.

Adversarial image-scaling
Quando vengono addestrati su molti esempi, i modelli di apprendimento automatico creano rappresentazioni matematiche delle somiglianze tra classi diverse. Ad esempio, se si allena un algoritmo di apprendimento automatico per rilevare la differenza tra cani e gatti, tenterà di creare un modello statistico in grado di dire se i pixel in una nuova immagine sono più simili a quelli che si trovano nelle immagini del cane o del gatto. (I dettagli variano tra i diversi tipi di algoritmi di apprendimento automatico, ma l’idea di base è la stessa.)

Il problema è che il modo in cui questi algoritmi di intelligenza artificiale imparano a distinguere tra oggetti diversi è diverso da come funziona la visione umana. La maggior parte degli attacchi avversari sfrutta questa differenza per creare piccole modifiche che rimangono impercettibili all’occhio umano mentre cambiano l’output del sistema di apprendimento automatico. Ad esempio, nell’immagine seguente, l’aggiunta di uno strato di rumore accuratamente realizzato farà sì che un noto algoritmo di apprendimento profondo confonda il panda per un gibbone. All’occhio umano, sia l’immagine destra che quella sinistra sembrano essere lo stesso panda.

L’aggiunta di uno strato di rumore all’immagine del panda a sinistra la trasforma in un esempio di contraddittorio

Ma mentre i classici attacchi avversari sfruttano le peculiarità nel funzionamento interno dell’algoritmo di intelligenza artificiale, gli attacchi di ridimensionamento delle immagini si concentrano sulla fase di pre-elaborazione della pipeline di apprendimento automatico (ci arriveremo tra un po ‘). Questo è il motivo per cui i ricercatori hanno intitolato il loro articolo “Adversarial preprocessing”.

“Sebbene un ampio corpo di ricerca abbia studiato gli attacchi contro gli algoritmi di apprendimento, le vulnerabilità nella preelaborazione per l’apprendimento automatico hanno ricevuto finora poca attenzione”, scrivono i ricercatori nel loro articolo.

In che modo gli attacchi di ridimensionamento delle immagini compromettono i modelli di apprendimento automatico
Ogni algoritmo di machine learning per l’elaborazione delle immagini ha una serie di requisiti per i suoi dati di input. Questi requisiti di solito includono una dimensione specifica per l’immagine (ad esempio, 299 x 299 pixel), ma potrebbero anche essere inclusi altri fattori come il numero di canali di colore (RGB, scala di grigi) e la profondità del colore (1 bit, 8 bit, ecc.) essere coinvolto.

Sia che tu stia addestrando un modello di apprendimento automatico o che lo utilizzi per inferenza (classificazione, rilevamento di oggetti, ecc.), Dovrai pre-elaborare la tua immagine per adattarla ai requisiti di input dell’IA. Sulla base dei requisiti che abbiamo appena visto, possiamo presumere che la preelaborazione di solito richieda il ridimensionamento dell’immagine alla giusta dimensione. E, come di solito accade con il software, quando gli hacker malintenzionati sanno come funziona un programma (o almeno una parte di esso), cercheranno di trovare modi per sfruttarlo a proprio vantaggio.

La maggior parte dei modelli di machine learning per l’elaborazione delle immagini richiede che l’immagine di input venga ridotta a una dimensione specifica.

È qui che entra in gioco l’attacco di ridimensionamento dell’immagine.

L’idea chiave alla base dell’attacco di ridimensionamento dell’immagine è sfruttare il modo in cui funzionano gli algoritmi di ridimensionamento per modificare l’aspetto dell’immagine di input durante la fase di pre-elaborazione. E di fatto, la maggior parte delle librerie di machine learning e deep learning utilizza alcuni algoritmi di ridimensionamento ben noti e documentati. La maggior parte di questi algoritmi sono gli stessi che trovi nelle app di modifica delle immagini come Photoshop, come il vicino più vicino e l’interpolazione bilineare. Ciò rende molto più semplice per un utente malintenzionato progettare un exploit che funzioni contemporaneamente su molti algoritmi di apprendimento automatico.

Quando le immagini vengono ridimensionate, ogni pixel dell’immagine ridimensionata è una combinazione dei valori di un blocco di pixel nell’immagine sorgente. La funzione matematica che esegue la trasformazione è chiamata “kernel”. Tuttavia, non tutti i pixel nel blocco sorgente contribuiscono allo stesso modo nel kernel (altrimenti, l’immagine ridimensionata diventerebbe troppo sfocata). Nella maggior parte degli algoritmi, il kernel dà un peso maggiore ai pixel che sono più vicini al centro del blocco sorgente.

I kernel di ridimensionamento dell’immagine pagano di più attributo un peso maggiore ai pixel più vicini al centro.

Nella preelaborazione del contraddittorio, l’aggressore acquisisce un’immagine e apporta modifiche ai valori dei pixel nelle posizioni corrette. Quando l’immagine passa attraverso l’algoritmo di ridimensionamento, si trasforma nell’immagine di destinazione. Infine, l’apprendimento automatico elabora l’immagine modificata.

Quindi, fondamentalmente, quello che vedi è l’immagine di origine. Ma ciò che vede il modello di machine learning è l’immagine di destinazione.

La sfida principale nell’attacco al ridimensionamento delle immagini è applicare le modifiche in modo che rimangano impercettibili all’occhio umano producendo il risultato desiderato quando vengono ridimensionate.

Un attacco di ridimensionamento dell’immagine avversario nasconde i pixel dell’immagine di destinazione nell’immagine di origine in un modo che un ridimensionamento risulterà nell’immagine di destinazione.

Quando attacca un modello di apprendimento automatico, l’aggressore deve conoscere il tipo di algoritmo di ridimensionamento utilizzato e la dimensione del kernel. Dato che la maggior parte delle librerie di machine learning ha poche opzioni di ridimensionamento, i ricercatori hanno scoperto che un utente malintenzionato richiede solo pochi tentativi per trovare la configurazione corretta.

Nei commenti a TechTalks, Pin-Yu Chen, chief scientist presso IBM Research (non tra gli autori dell’articolo), ha confrontato il ridimensionamento delle immagini del contraddittorio con la steganografia, dove un messaggio (qui l’immagine ridotta) è incorporato nell’immagine di origine, e può essere decodificato solo dall’algoritmo di riduzione della scala.

“Sono curioso di vedere se l’attacco può essere agnostico anche per gli algoritmi di ridimensionamento”, afferma Chen, autore di diversi articoli sull’apprendimento automatico antagonistico. “Ma sulla base del successo di perturbazioni universali (a diversi algoritmi), penso che anche un attacco universale di ridimensionamento dell’immagine sia plausibile”.

Esempi reali di attacchi di ridimensionamento delle immagini
Esistono fondamentalmente due scenari per attacchi di ridimensionamento delle immagini contro algoritmi di apprendimento automatico. Un tipo di attacco consiste nel creare esempi contraddittori che causano false previsioni in un algoritmo di apprendimento automatico addestrato. Ad esempio, come mostrato negli esempi precedenti, un attacco di ridimensionamento delle immagini può far sì che un algoritmo di apprendimento automatico classifichi un gatto come un cane o una teiera come un gatto.

Ma forse la minaccia maggiore del ridimensionamento delle immagini è rappresentata dagli attacchi di “avvelenamento dei dati”, sottolineano i ricercatori dell’IA nel loro articolo.

L’avvelenamento dei dati è un tipo di attacco avversario messo in scena durante la fase di addestramento, quando un modello di apprendimento automatico regola i suoi parametri sui pixel di migliaia e milioni di immagini. Se un utente malintenzionato ha accesso e può manomettere il set di dati utilizzato nella formazione, sarà in grado di far sì che il modello di apprendimento automatico si formi su esempi di contraddittorio. Questo crea una backdoor nell’algoritmo AI che l’attaccante può utilizzare in seguito

Ad esempio, si consideri un’azienda che sta creando un sistema di riconoscimento facciale per controllare l’accesso nei luoghi in cui gestisce materiale sensibile. A tal fine, gli ingegneri dell’azienda stanno addestrando una rete neurale convoluzionale per rilevare i volti dei dipendenti autorizzati. Mentre il team sta raccogliendo il set di dati di formazione, un dipendente malintenzionato fa scivolare alcune immagini manomesse che nascondono la foto segnaletica di un personale non autorizzato.

Dopo aver addestrato la rete neurale, gli ingegneri testano l’IA per assicurarsi che rilevi correttamente i dipendenti autorizzati. Controllano anche alcune immagini casuali per assicurarsi che l’algoritmo AI non dia per errore l’accesso a una persona non autorizzata. Ma a meno che non controllino esplicitamente il modello di apprendimento automatico sul volto della persona inclusa nell’attacco avversario, non scopriranno il suo brutto segreto.

Gli attacchi di ridimensionamento delle immagini contraddittori possono nascondere un volto bersaglio in un’immagine sorgente senza allertare un osservatore umano.

Ecco un altro esempio: supponiamo che tu stia addestrando una rete neurale sulle immagini dei segnali di stop per un uso successivo in un’auto a guida autonoma . Un malintenzionato può avvelenare i dati di addestramento per includere immagini patchate dei segnali di stop. Queste sono chiamate “patch del contraddittorio”. Dopo l’addestramento, la rete neurale assocerà qualsiasi segno con quella patch con la classe di destinazione. Quindi, ad esempio, può far sì che un’auto a guida autonoma tratti un segnale casuale come un segnale di stop o, peggio, classifichi erroneamente e aggiri un vero segnale di stop.

In questo attacco di ridimensionamento dell’immagine, una patch antagonista è incorporata nell’immagine di un segnale di stop.

Attacchi con ridimensionamento delle immagini rispetto ad altre tecniche di apprendimento automatico dell’avversario
Nel loro articolo, i ricercatori di TU Braunschweig sottolineano che gli attacchi di ridimensionamento delle immagini sono una minaccia particolarmente seria per l’IA perché la maggior parte dei modelli di machine learning di visione artificiale utilizza uno dei pochi algoritmi di ridimensionamento delle immagini popolari. Ciò rende gli attacchi di ridimensionamento delle immagini “indipendenti dal modello”, il che significa che sono insensibili al tipo di algoritmo di intelligenza artificiale che prendono di mira e un singolo schema di attacco può essere applicato a un’intera gamma di algoritmi di apprendimento automatico.

Al contrario, gli esempi classici di contraddittorio sono progettati per ogni modello di apprendimento automatico. E se il modello preso di mira subisce una leggera modifica, l’attacco potrebbe non essere più valido.

“Rispetto agli attacchi avversari white-box che richiedono una conoscenza completa e la piena trasparenza del modello di destinazione, l’attacco di ridimensionamento delle immagini richiede meno informazioni (deve solo sapere quale algoritmo di ridimensionamento viene utilizzato nel sistema di destinazione), quindi è un metodo più pratico ( gray-box) in termini di conoscenza dell’aggressore “, ha detto Chen. “Tuttavia, è ancora meno pratico degli attacchi avversari black-box che non richiedono alcuna conoscenza [del modello di apprendimento automatico di destinazione].”

Gli attacchi avversari a scatola nera sono tecniche avanzate che sviluppano perturbazioni antagoniste semplicemente osservando i valori di output di un modello di apprendimento automatico.

Chen riconosce che l’attacco a ridimensionamento delle immagini è davvero un modo efficiente per generare esempi contraddittori. Ma aggiunge che non tutti i sistemi di apprendimento automatico hanno un’operazione di ridimensionamento. “Questo tipo di attacco è limitato ai modelli basati su immagini con operazioni di ridimensionamento, mentre gli esempi contraddittori possono esistere in altri modelli di immagini senza ridimensionamento e altre modalità di dati”, afferma. L’apprendimento automatico del contraddittorio si applica anche ai dati audio e di testo .

Protezione dei modelli di machine learning dagli attacchi di ridimensionamento delle immagini

Il lato positivo è che la semplicità del ridimensionamento delle immagini contraddittorio rende anche possibile esaminare meglio gli schemi di attacco e sviluppare tecniche in grado di proteggere i sistemi di apprendimento automatico.

“Sebbene gli attacchi contro gli algoritmi di apprendimento siano ancora difficili da analizzare a causa della complessità dei modelli di apprendimento, la struttura ben definita degli algoritmi di ridimensionamento ci consente di analizzare completamente gli attacchi di ridimensionamento e sviluppare difese efficaci”, scrivono i ricercatori della TU Braunschweig.

Nel loro articolo, i ricercatori forniscono diversi metodi per contrastare gli attacchi avversari di ridimensionamento delle immagini, inclusi algoritmi di ridimensionamento che attenuano i pesi dei kernel e filtri di ricostruzione dell’immagine che possono annullare l’effetto dei valori dei pixel alterati.

Le tecniche di ricostruzione delle immagini riducono la probabilità di attacchi di ridimensionamento delle immagini in contraddittorio sostituendo i pixel sensibili con i valori dell’area circostante.

“Il nostro lavoro fornisce nuove informazioni sulla sicurezza della preelaborazione nell’apprendimento automatico”, scrivono i ricercatori. “Riteniamo che sia necessario un ulteriore lavoro per identificare ed escludere altre vulnerabilità nelle diverse fasi dell’elaborazione dei dati per rafforzare la sicurezza dei sistemi basati sull’apprendimento”.

Rendere gli algoritmi di machine learning robusti contro gli attacchi del contraddittorio è diventata un’area di ricerca attiva negli ultimi anni. Chen di IBM afferma: “Oltre agli attacchi, sono stati utilizzati anche esempi di contraddittorio per l’addestramento del modello per rafforzare la robustezza del modello. Ai fini dell’addestramento in contraddittorio (addestramento con esempi in contraddittorio), è utile avere diversi tipi di attacchi in contraddittorio “.

Questo articolo è stato originariamente pubblicato da Ben Dickson su TechTalks , una pubblicazione che esamina le tendenze della tecnologia, il modo in cui influenzano il modo in cui viviamo e facciamo affari e i problemi che risolvono. Ma discutiamo anche del lato malvagio della tecnologia, delle implicazioni più oscure della nuova tecnologia e di ciò a cui dobbiamo prestare attenzione. Puoi leggere l’articolo originale qui .

Fonte : https://thenextweb.com/neural/2020/08/13/image-scaling-attacks-highlight-dangers-of-adversarial-machine-learning-syndication/